Auftragsverarbeitung - Verarbeitung nur nach dokumentierter Weisung
Anweisungen dürfen nicht überschritten werden
Art. 28 Abs. 3 Buchstabe a der Datenschutzgrundverordnung bestimmt, dass ein Auftragsverarbeiter Daten ausschließlich auf die dokumentierte Weisung eines Verantwortlichen hin verarbeiten darf. Diese Verpflichtung resultiert daraus, dass Auftragsverarbeiter die Daten ja im Auftrag von Verantwortlichen verarbeiten. Folglich müssen die Verantwortlichen den Auftragsverarbeitern Anweisungen zu der Verarbeitung der Daten geben, die beispielsweise folgende Details definieren:
- Detaillierte Verfahren
- Sicherungsmöglichkeiten der Daten
- Zulässiger oder unzulässiger Umgang mit den personenbezogenen Daten
Die Anweisungen der für die Verarbeitung der personenbezogenen Daten Verantwortlichen dürfen die Auftragsverarbeiter nicht überschreiten. Sie dürfen allerdings Vorschläge zu den Elementen machen, die wiederum – sofern der Verantwortliche sie akzeptiert – Bestandteil der bereits erteilten Anweisungen werden. Falls der Auftragsverarbeiter Daten jenseits der vom Verantwortlichen erteilten Anweisungen verarbeitet und falls der Auftragsverarbeiter damit implizit über Zwecke und über Mittel der Datenverarbeitung entscheidet, verstößt er damit gegen seine Verpflichtungen. Nach Art. 28 Abs. 10 Datenschutzgrundverordnung gilt er aufgrund dessen sogar als Verantwortlicher.
Dokumentation der Anweisungen unverzichtbar
Vor diesem Hintergrund ist es völlig nachvollziehbar, dass die Anweisungen der Verantwortlichen dokumentiert werden müssen. Eine Vorlage oder auch ein Verfahren ist empfehlenswert, mit dem ergänzende Weisungen in einen Vertragsanhang oder in den Anhang eines entsprechenden Rechtsinstruments aufgenommen werden. Eine andere Option ist es, die Anweisungen in Schriftform zu erteilen – beispielsweise via E-Mail – oder in anderer dokumentierbarer Form, die es zulässt, die Anweisungen aufzuzeichnen. Damit der Nachweis über die ordnungsgemäße Dokumentation der Anweisungen des Verantwortlichen problemlos möglich ist, schlägt der Europäische Datenschutzausschuss vor, die Anweisungen auf alle Fälle am gleichen Ort wie den Vertrag oder auch das andere Rechtsinstrument zu verwahren.
Anforderungen an Übermittlung in Drittländer
Der Auftragsverarbeiter ist verpflichtet, keinerlei Verarbeitung ohne eine entsprechende Anweisung des Verantwortlichen zu tätigen. Dies umfasst auch die Weitergabe von personenbezogenen Daten in Drittländer oder an international agierende Organisationen. Im Auftragsverarbeitungsvertrag sollten zudem die Vorgaben gemäß Kapitel V der Datenschutzgrundverordnung definiert werden, die eine Übermittlung personenbezogener Daten an international agierende Organisationen oder in Drittländer betreffen.
Angemessene Beachtung der Details
Eine weitere Empfehlung des Europäischen Datenschutzausschusses an die Verantwortlichen ist die, der Übermittlung in Drittländer mit angemessener Aufmerksamkeit zu begegnen. Vor allem wenn die Auftragsverarbeiter weitere Auftragsverarbeiter mit einzelnen Verarbeitungstätigkeiten beauftragen oder wenn sie selbst Einheiten oder Abteilungen in Drittländern haben. Lassen die Anweisungen der Verantwortlichen eine Offenlegung oder Übermittlung von personenbezogenen Daten in Drittländer nicht zu, dann ist es dem Auftragsverarbeiter untersagt, in Drittländern Unterauftragsverarbeiter damit zu beauftragen, diese Daten zu verarbeiten. Auch darf der Auftragsdatenverarbeiter diese Daten nicht von seinen Abteilungen außerhalb der Grenzen der EU bearbeiten lassen.
Von den Anweisungen des Verantwortlichen abweichen
Ist ein Auftragsverarbeiter dazu verpflichtet, personenbezogene Daten auf Basis des Rechts der Union oder eines Mitgliedstaates, dessen Recht der Auftragsverarbeiter untersteht, zu übermitteln oder zu verarbeiten, darf er diese Daten anders verarbeiten, als die Anweisungen des Verantwortlichen ihm dies vorgeben. Daraus wird ersichtlich, von welch großer Bedeutung es ist, Vereinbarungen zur Datenverarbeitung mit Bedacht zu verhandeln und abzuschließen. So kann es zum Beispiel für die betroffenen Parteien erforderlich werden, sich bezüglich bereits bestehender rechtlicher Vereinbarungen juristisch oder datenschutzrechtlich beraten zu lassen. Das sollte selbstverständlich rechtzeitig getan werden, denn Auftragsverarbeiter sind verpflichtet, Verantwortliche schon vor dem Beginn der Datenverarbeitung über etwaige Anforderungen in Kenntnis zu setzen.
Diese Informationspflicht gilt allerdings nicht, wenn dasselbe Recht, sei es das der EU oder eines Mitgliedstaates, dem Auftragsverarbeiter verbietet, den Verantwortlichen zu informieren. Die Übermittlung oder die Offenlegung ist nur zulässig, wenn sie nach dem Recht der Union und auch nach Art. 48 Datenschutzgrundverordnung erlaubt ist.
Sie möchten mehr erfahren?
Die Verbindlichkeit der Weisungen von Verantwortlichen ist ein umfassendes Thema, zu dem wir Sie gern ausführlich informieren. Senden Sie uns doch eine Nachricht oder rufen Sie uns einfach unter Telefon 09122 6937302 an. Wir freuen uns, von Ihnen zu lesen oder zu hören!
Ihr Team von Datenschutz Prinz
Mehr zum Thema Auftragsverarbeitung:
- Rolle und Auswahl der Auftragsverarbeiter
- Vereinbarungen mit dem Auftragsverarbeiter
- Vertrag oder sonstiges Rechtsinstrument: Inhalte
Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.
Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!
Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.
